アカウント名:
パスワード:
まずそこにビックリ。
なぜ平文だと思ったのか。それが問題だ。わざわざmitmと書かれているのに。
ちゃんと暗号化されていれば、中間者攻撃は成功しないでしょ。
今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、アプリ動作用のスクリプトなどが平文で伝送されていて、中間者攻撃で改ざんしたJSコードをアプリ側に送り込むことができた、という問題でしょ。たとえメッセージの伝送路を暗号化してても、端末上では復号されてメッセージが表示されてるんだから、そこを突かれたらどうしようもない。
ノー。攻撃方法は複数あって、それがごちゃ混ぜになってる。
①罠入り無線LANアクセスポイントに接続された状態でスマホのブラウザを開くと、 LINEを勝手に起動させて情報を送信させるJavaScriptを実行する。 こちらは平文とか関係なく、ブラウザからLINEを起動させる部分の脆弱性。
②同様のJavaScriptを自分の名前に仕込んだ状態で、不特定多数のユーザへ友だち申請を送信し、 それを表示させたLINEアプリから情報を送信させる脆弱性。 これは仰るとおり暗号化していても発生する。
ぶら下げる場所を間違えた。元コメント宛。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
平文だったの。。。 (スコア:0)
まずそこにビックリ。
Re: (スコア:-1)
なぜ平文だと思ったのか。
それが問題だ。
わざわざmitmと書かれているのに。
Re: (スコア:2)
ちゃんと暗号化されていれば、中間者攻撃は成功しないでしょ。
今回の場合、通常のメッセージ伝送などはちゃんと暗号化されていたけど、
アプリ動作用のスクリプトなどが平文で伝送されていて、中間者攻撃で改ざんしたJSコードをアプリ側に送り込むことができた、という問題でしょ。
たとえメッセージの伝送路を暗号化してても、端末上では復号されてメッセージが表示されてるんだから、そこを突かれたらどうしようもない。
Re: (スコア:3, 参考になる)
ノー。
攻撃方法は複数あって、それがごちゃ混ぜになってる。
①罠入り無線LANアクセスポイントに接続された状態でスマホのブラウザを開くと、
LINEを勝手に起動させて情報を送信させるJavaScriptを実行する。
こちらは平文とか関係なく、ブラウザからLINEを起動させる部分の脆弱性。
②同様のJavaScriptを自分の名前に仕込んだ状態で、不特定多数のユーザへ友だち申請を送信し、
それを表示させたLINEアプリから情報を送信させる脆弱性。
これは仰るとおり暗号化していても発生する。
Re:平文だったの。。。 (スコア:0)
ぶら下げる場所を間違えた。元コメント宛。